Falsa email su ChatGPT: nuova campagna di phishing in Italia ruba dati delle carte e codici OTP
I ricercatori di D3Lab hanno rilevato una nuova campagna di phishing che sfrutta il brand ChatGPT, servizio sviluppato da OpenAI, per sottrarre dati di carte di pagamento e codici di sicurezza agli utenti italiani.
Si tratta della prima campagna in lingua italiana osservata da D3Lab che utilizza questo pretesto, segnale di come i criminali stiano rapidamente adattando le proprie strategie all’evoluzione dei servizi digitali più diffusi.
La falsa email: pagamento rifiutato della sottoscrizione
La campagna viene veicolata tramite email in italiano che informano l’utente di un presunto rifiuto nel pagamento dell’abbonamento a ChatGPT.
Nel messaggio viene richiesto di aggiornare urgentemente i dati di pagamento per evitare l’interruzione del servizio. Un elemento indicativo della natura fraudolenta è la presenza del tag “#email#” non sostituito correttamente con il nominativo del destinatario, segnale tipico dell’utilizzo di template automatizzati nei kit di phishing.
Il pulsante presente nella comunicazione invita l’utente ad aggiornare i dati della carta, conducendolo verso una pagina malevola.
Hosting su infrastrutture legittime e landing page realistica
Cliccando sul link, la vittima viene reindirizzata su uno spazio di hosting gratuito basato su sottodomini del dominio nxcli[.]io, utilizzato per ospitare la pagina di phishing.
La landing page simula in modo credibile la schermata di pagamento della sottoscrizione ChatGPT Plus, mostrando un importo coerente con il costo reale del servizio e riferimenti a sistemi di pagamento noti per aumentare il livello di fiducia dell’utente.
In questa fase vengono richiesti:
- numero della carta
- data di scadenza
- codice CVC
- nome dell’intestatario
Una volta inserite le informazioni, l’utente viene reindirizzato su una seconda pagina in cui viene richiesto il codice OTP necessario per autorizzare il pagamento.
Frode in tempo reale: richiesta del codice OTP
La richiesta del codice di sicurezza avviene mentre i criminali tentano immediatamente di eseguire pagamenti con i dati appena sottratti.
Questo schema rappresenta una forma di frode in tempo reale, particolarmente pericolosa perché riduce la possibilità per la vittima di accorgersi dell’attacco e bloccare la carta.
I tentativi di addebito osservati tramite carta canary
Per analizzare il comportamento degli attori criminali, i ricercatori di D3Lab hanno utilizzato una carta di credito fittizia (canary), rilevando dieci distinti tentativi di addebito nell’arco di un’ora.
Di seguito il riepilogo delle transazioni osservate:
| Data | Ora (UTC) | Merchant | Paese | Importo |
|---|---|---|---|---|
| 23/03/2026 | 08:05 | SIFTFR | FR | 4066.70 MAD |
| 23/03/2026 | 08:15 | GOOGLE *WALLET TEMP | GBR | 0 EUR |
| 23/03/2026 | 08:17 | SIFTFR | FR | 4066.70 MAD |
| 23/03/2026 | 08:20 | Ditur.es | DK | 945 EUR |
| 23/03/2026 | 08:28 | Ditur.es | DK | 945 EUR |
| 23/03/2026 | 08:34 | Ditur.es | DK | 945 EUR |
| 23/03/2026 | 08:38 | GLOBALTELEHOST CORP. | CAN | -49 USD |
| 23/03/2026 | 09:23 | Ditur.es | DK | 945 EUR |
| 23/03/2026 | 09:25 | Ditur.es | DK | 945 EUR |
| 23/03/2026 | 10:01 | Ditur.es | DK | 1059 EUR |
Tra le attività rilevate figura anche un tentativo di aggiungere la carta al wallet digitale, indicatore della volontà di tokenizzare il metodo di pagamento per utilizzarlo successivamente.
Possibili collegamenti con circuiti fraudolenti internazionali
La presenza di tentativi di addebito in Dirham marocchini (MAD) è coerente con pattern osservati in precedenti campagne di phishing attribuite a gruppi criminali attivi nell’area nord-africana.
Sebbene non sia possibile attribuire con certezza la campagna a specifici attori, questi indicatori evidenziano come le operazioni fraudolente siano spesso gestite tramite infrastrutture e merchant internazionali.
Conclusioni
Le campagne di phishing che sfruttano il brand ChatGPT dimostrano come i criminali informatici adattino rapidamente le proprie strategie ai servizi digitali più utilizzati dagli utenti.
In questo caso, la combinazione tra raccolta dei dati della carta, richiesta del codice OTP e tentativi immediati di eseguire pagamenti fraudolenti rende l’attacco particolarmente pericoloso.
Per questo motivo è fondamentale mantenere sempre alta l’attenzione quando si ricevono comunicazioni relative a pagamenti o abbonamenti online.
IoC (Indicator of Compromise)
La campagna di phishing viene veicola attraverso i seguenti IoC:
- 5a172d1fdf[.]nxcli[.]io
